Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen

Ja!

Der gestern präsentierte Koalitionsvertrag von SPD, Grünen und FDP greift viele Forderungen aus der Zivilgesellschaft auf, u.a.

  • Überprüfung der Sicherheitsgesetze in einer Überwachungsgesamtrechnung, die wissenschaftlich evaluiert wird
    (statt wie bisher: massive Ausweitung der Befugnisse und Staatstrojaner-Einsatz)
  • Videoüberwachung und biometrische Identifizierungen sollen im öffentlichen Raum (weitgehend) unterbleiben
    (statt wie bisher diskutiert: Digitale Kontrolle des öffentlichen Raumes ausweiten)
  • Meldepflicht von Sicherheitslücken an das BSI durch staatliche Stellen
    (statt wie bisher: diese einzukaufen um sie für Onlinedurchsuchungen / Staatstrojaner zu nutzen oder als Angreifer Hackbacks vorzunehmen)
  • Neuausrichtung des BSI als unabhängigere IT-Sicherheits-Instanz
  • ein Recht auf sichere Verschlüsselung
    (statt wie bisher: Aushöhlung und Hintertüren)
  • Legalisierung der Aufdeckung von Schwachstellen „responsible disclosure“
    (statt wie bisher: Strafverfolgung)
  • Herstellerhaftung für Schäden, die fahrlässig durch IT-Sicherheitslücken verursacht werden
    (statt wie bisher: Bitten um Produktverbesserung)
  • Ersatzteile und Updates sollen für die gesamte Lebenszeit von Produkten verfügbar sein
    (statt wie bisher: Hoffen auf freiwillige Selbstverpflichtung)
  • Open Source und offene Standards sollen bei öffentlichen Softwareentwicklungsprojekten die Regel sein „public money for public code“
  • Anonyme / pseudonyme Nutzung von Diensten soll möglich sein
    (statt wie bisher diskutiert: Klarnamenpflicht)
  • Regelungen zur Anonymisierung von Daten sowie Strafbarkeit von De-Anonymisierung

„Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen“ weiterlesen

Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen

Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.

Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.

Kein Gerät ist sicher.
Jede*r ist betroffen.

Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).

Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.

Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:

  • Ende-zu-Ende-Verschlüsselung aushöhlen: Hintertüren für Behörden – Anbieter sollen Klartext-Zugang ermöglichen.
  • Sicherheitslücken ausnutzen: Legaler Angriff über 0-day-Exploits und andere Schwachstellen; Hacking-Auftrag für das BSI und das neu geschaffene ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich).
  • Staatstrojaner für alle: neben den Geheimdiensten dürfen Polizei und Zoll diese nutzen (das BKA hat bereits 2019 den Staatstrojaner Pegasus der NSO Group für eine Million € beschafft).

„Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen“ weiterlesen

Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner

Ein Länder-übergreifendes Recherchenetzwerk hat den Skandal um die Schadsoftware Pegasus der israelischen NSO Group aufgedeckt, mit der Smartphones infiziert werden können.

Der „Staatstrojaner als Service“ der NSO Group ähnelt den „Ransomware als Service“ Ansatz von Hackern, mit dem wesentlichen Unterschied, dass er legal von staatlichen Akteuren beauftragt wird.

Offiziell wird das Tool zur Terrorverfolgung lizenziert, letztlich steht es den Nutzern aber frei, ihre Ziele „Targets“ auszuwählen. Unter den gut zahlenden Kunden sind autoritäre Staaten, die damit auch Systemkritiker, Journalisten und Anwälte ausspionieren. Selbst bekannte Politiker wie Macron sollten ausgespäht werden.

Am Deutlichsten wird die Verbindung zwischen der Überwachung mit NSO’s Pegasus-Trojaner und physischer Gewalt beim ermordeten saudi-arabischen Journalisten Jamal Khashoggi, aber auch Menschenrechtsaktivisten in Mexiko und Indien sind massiv betroffen.

In diesem Beitrag geht es um die Funktionsweise der Spionagesoftware sowie das fragwürdige Geschäftsmodell der milliardenschweren NSO Group.

„Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner“ weiterlesen

Endlich: Staatstrojaner auch ohne Tatverdacht präventiv durch Polizei und Geheimdienste einsetzbar

Heute wird das vielfach diskutierte und nur punktuell angepasste Bundespolizeigesetz im Bundestag beschlossen.

Es ist nun den Polizeibehörden und Geheimdiensten möglich ohne Strafantrag die Rechner unbescholtener Bürger zu hacken und mit Staatstrojanern zu versehen. Für die Telekommunikationsüberwachung (TKÜ) musste zumindest ein Tatverdacht bestehen.

Sicherheitslücken dürfen dabei ausgenutzt und Schadsoftware installiert werden.

Die Telekommunikationsanbieter sind dabei zur Mitwirkung verpflichtet.

Der Grundrechtseingriff ist so massiv, dass bereits jetzt absehbar ist, dass das Gesetz vom Bundesverfassungsgericht gekippt werden wird. Allerdings wird bis dahin noch viel Wasser die Spree hinunter fließen.

Weitere Informationen

Nachtrag v. 23.9.2021

Die Gesellschaft für Freiheitsrechte hat insgesamt 7 Klagen gegen die einschlägigen Gesetze zum Staatstrojaner eingereicht sowie zuletzt eine Beschwerde beim Bundesdateschutzbeauftragten gegen den Kauf und die Nutzung der Software Pegasus durch das BKA.

Crypto Wars – der Kampf um Verschlüsselung

Als Crypto Wars werden die Auseinandersetzungen zwischen staatlichen und zivilgesellschaftlichen Akteuren bezeichnet, in denen es um vertrauliche Kommunikation geht. Den staatlichen Stellen geht es darum, Vertraulichkeit technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche, verschlüsselte Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:
  • Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
  • Messenger wenden Ende-zu-Ende-Verschlüsselung an,
  • VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
  • selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

„Crypto Wars – der Kampf um Verschlüsselung“ weiterlesen

BND sucht Hacker für Staats-Trojaner und Cyber-Angriffe auf alle Arten von Endgeräten

Kaum ist das Gesetzvorhaben auf dem Weg, ist klar wohin die Reise geht:

Jetzt wird in die Hände gespuckt und die Sache ernsthaft angegangen. Die Aufgaben des neuen BND-Hackers sind:

  • Entwicklung und Programmierung einzigartiger, individuell entwickelter Werkzeuge zur Aufklärung und Informationssammlung von Computersystemen, Netzwerken und mobilen Endgeräten
  • Entwicklung und Erprobung neuer Verfahren und Methoden im Bereich Cyber Intelligence
  • Software Reverse Engineering von quellenoffener und nicht quellenoffener Software
  • Analyse von Schwachstellen in Programmen und Betriebssystemen

Vermutlich werden die gefundenen Schwachstellen nicht als CVEs gemeldet, sondern sollen für Cyber-Angriffe auf Endgeräte genutzt werden.

„BND sucht Hacker für Staats-Trojaner und Cyber-Angriffe auf alle Arten von Endgeräten“ weiterlesen

Vertrauen in amtliche E-Mails und Software wie ELSTER verspielt: Staatstrojaner für alle Geheimdienste!

Die Bundesregierung hat den Gesetzentwurf beschlossen, vermutlich ist es nur noch eine Formsache das Gesetz durch Bundestag und Bundesrat zu bekommen.

Gerade in der Pandemie-Zeit ist das keine gute Idee, denn wie soll eine Bürgernahe Digitalisierung der öffentlichen Verwaltung vorankommen, wenn damit zu rechnen sein muss, dass nicht nur etliche Polizeibehörden, sondern auch sämtliche deutschen Geheimdienste versuchen werden ihre Staatstrojaner einzuschmuggeln.

Der Staatstrojaner ist ein weiterer Puzzlestein in der langjährigen Agenda der Sicherheitsbehörden:

Überwachungsstaat, wir grüßen Dich!

„Vertrauen in amtliche E-Mails und Software wie ELSTER verspielt: Staatstrojaner für alle Geheimdienste!“ weiterlesen

Berlins Polizeigesetz – Besser als das anderer Länder: Weder Staats-Trojaner noch finaler Rettungsschuss, dafür Kennzeichnungspflicht und Bodycams für Beamte, …

Es geht auch anders! Das neue Berliner Polizeigesetz ist progressiv. Anders als in anderen Bundesländern.

Einige Details:

  • keine Quellen-Telekommunikationsüberwachung, sondern klassische Telekommunikationsüberwachung beim Dienstanbieter (mit Richterbeschluss)
  • keine Nutzung der Palantir-Software wie in Hessen oder NRW
  • einen finalen Rettungsschuss wird es in Berlin nicht geben
  • Polizeibeamte müssen Name und Dienstnummer sichtbar tragen
  • Bodycams sollen zur Dokumentation polizeilicher Maßnahmen getragen werden
  • Präventivhaft wird auf maximal 2 Tage beschränkt, bislang waren es 4 Tage – in Bayern können Personen sogar unbegrenzt festgehalten werden

„Berlins Polizeigesetz – Besser als das anderer Länder: Weder Staats-Trojaner noch finaler Rettungsschuss, dafür Kennzeichnungspflicht und Bodycams für Beamte, …“ weiterlesen

Gesetzentwurf erregt die Gemüter: Staats-Trojaner für alle Geheimdienste

Bald sollen alle deutschen Geheimdienste Smartphones und Computer hacken dürfen. Die geplanten Änderungen von mehreren Gesetzen sollen die Rechtslage neu regeln.

„Gesetzentwurf erregt die Gemüter: Staats-Trojaner für alle Geheimdienste“ weiterlesen

Staat hört mit – Verfassungsschutz soll Staatstrojaner einsetzen können

Der Inlandsgeheimdienst darf künftig die sogenannte Quellen-Telekomunikationsüberwachung nutzen, um verschlüsselte Messenger-Nachrichten und VoIP/Video-Telefonie abzuhören. Die Bundesregierung bringt das entsprechende Gesetzvorhaben nach zähen Verhandlungen in den Bundestag.

„Staat hört mit – Verfassungsschutz soll Staatstrojaner einsetzen können“ weiterlesen